Prisma Cloud Compute: Examen sin agente en Azure con recursos de red personalizados (identificador de subred personalizado y grupo de seguridad)
7475
Created On 11/13/23 08:21 AM - Last Modified 12/19/23 05:21 AM
Objective
- En este artículo se describe el análisis sin agente en Azure con recursos de red personalizados (identificador de subred personalizado y grupo de seguridad) y los permisos necesarios.
Environment
- Prisma Cloud Compute Edition
- Saas
- Autohospedado
- Azul
Procedure
Al configurar el análisis sin agente para Azure dentro de Prisma, se pueden designar subredes o grupos de seguridad (SG) específicos para el proceso de examen. Los analizadores adoptarán los valores de configuración de la subred/SG especificada. Sin embargo, se identifica mediante el recurso denominado "prismacloud-scan-XXXXXXXXXXX".
Proceso de configuración:
- En el entorno de Azure, los recursos de red personalizados proporcionados no se usan directamente para el examen sin agente.
- Esto se debe a la limitación actual de admitir solo un identificador único para la subred o el grupo de seguridad, y Azure prohíbe tener nombres idénticos de subred o grupo de seguridad dentro del mismo grupo de recursos.
- Por lo tanto, no se puede suponer que la subred o el grupo de seguridad especificados existirán en todas las regiones.
- Para solucionar este problema, los recursos de red se crean con la misma configuración que los recursos suministrados en el grupo de recursos Prisma Agentless y se identifican como "prismacloud-scan-XXXXXXXXXX".
Creación de recursos de red:
- Prisma toma la iniciativa de crear nuevas subredes y grupos de seguridad, incluso cuando se opta por una configuración de red personalizada a través de la interfaz de usuario de Prisma.
- Este enfoque garantiza la coherencia y el cumplimiento de la configuración deseada.
- Los recursos de red recién creados reflejan los recursos suministrados con el identificador sin agente de Prisma Cloud "prismacloud-scan-XXXXXXXXXX".
Requisitos de permisos:
- A pesar de seleccionar recursos de red personalizados a través de la interfaz de usuario de Prisma, es importante tener en cuenta que los permisos no obligatorios descritos en la documentación de permisos sin agente de Azure siguen siendo necesarios para la ejecución correcta de exámenes sin agente en Azure con recursos de red personalizados.
|
Permisos
|
Purpose
|
| Microsoft.Network/networkInterfaces/write | Creación de la interfaz de red de la instancia de escáner |
| Microsoft.Network/networkInterfaces/delete | Eliminar la interfaz de red de la instancia del escáner |
| Microsoft. Network/networkSecurityGroups/Write | Creación del grupo de seguridad de la instancia de escáner |
| Microsoft.Network/networkSecurityGroups/delete | Eliminación del grupo de seguridad de la instancia del escáner |
| Microsoft.Network/virtualNetworks/write | Creación de la red de instancias de escáner |
| Microsoft.Network/virtualNetworks/delete | Eliminación de la red de instancias de escáner |
Additional Information
Este es el ejemplo de examen sin agente de Azure con grupo de seguridad personalizado e identificador de subred
.
- Para ilustrar el proceso de un examen sin agente de Azure con un grupo de seguridad personalizado y un identificador de subred para Azure, usaremos el grupo de seguridad personalizado y el identificador de subred en PCCAgentlessScanResourceGroup. Este es el grupo de recursos predeterminado para el análisis sin agente de Prisma. Tenga en cuenta que, en un escenario real, los clientes pueden tener el grupo de seguridad personalizado y el identificador de subred en diferentes grupos de recursos.
- Id. de subred de Azure que se usará para Agentless:
- El grupo de seguridad de Azure que se usará para Agentless es:
Configuración de Prisma:
- Configure el examen sin agente de Azure en Prisma con la sección "Recursos de red" mediante el identificador de subred y el grupo de seguridad proporcionados.
- Modos de escaneo:
- Misma cuenta: se requiere infraestructura de red en todas las cuentas. Si usa recursos de red personalizados, debe crear la infraestructura de red en cada región de cada cuenta
- Cuenta de concentrador : La infraestructura de red solo es necesaria en la cuenta de concentrador. Si usa recursos de red personalizados, solo necesita crear la infraestructura de red en todas las regiones de la cuenta del concentrador.
Ejecución de análisis sin agente:
- Una vez que se inicia el análisis sin agente, Prisma crea todos los recursos en el grupo de recursos denominado "PCCAgentlessScanResourceGroup"
- La supervisión de este grupo de recursos de Azure revela todos los recursos creados para Agentless en Azure y sus respectivos estados.
- A pesar de crear recursos personalizados en Azure, Prisma genera nuevos recursos para grupos de seguridad de red y redes virtuales en lugar de usar los recursos existentes directamente, tal y como se configura en la interfaz de usuario de Prisma para el examen sin agente. Sin embargo, los recursos creados con el nombre "prismacloud-scan-XXXXXXXXXXX" establecen la configuración mediante la configuración de la subred/SG personalizada configurada.
Recursos creados por Prisma Agentless:
- La red virtual (denominada prismacloud-scan-XXXXXXXXXXX) tiene la misma configuración que la red virtual personalizada con la subred 10.0.0.0/24:
- La subred 10.0.0.0/24 del ID de subred personalizado se utiliza en los recursos sin agente de Prisma para el análisis.
- El grupo de seguridad de red creado para Agentless tiene la misma configuración que el grupo de seguridad personalizado: